Abracadabra 的 DeFi 咒语因 180 万美元的安全漏洞而失效

本站报道：

DeFi 借贷协议 Abracadabra 报告称，自 2024 年以来，该协议遭遇了第三次重大攻击，导致 180 万美元损失。黑客利用了该协议智能合约中的偿付能力检查漏洞。安全公司 BlockSec Phalcon 发现，此次攻击发生在 2025 年 10 月 4 日，攻击者绕过安全措施，借入了 179 万美元。

魔法 互联网货币 (MIM) 代币，后来被兑换成 ETH，并通过 Tornado Cash 洗白。DAO 资金库已启动被盗 MIM 代币的回购，据报道，用户资金未受到影响。 ^{[ 1 ]}.

该漏洞源于协议“cook函数”中的一个逻辑错误，该函数允许用户在单笔交易中执行多个操作。研究人员指出，攻击者操纵了两个特定的操作——将一个标记为借款流程（操作5），将另一个标记为空更新（操作0），以覆盖验证步骤并提取资金。^{[ 2 ]}这种方法与之前的攻击行为类似，包括 2024 年 1 月发生的 640 万美元的泄露事件和 2025 年 3 月发生的 1300 万美元的盗窃事件，这些事件都针对的是“Cauldron”合约中的漏洞^{[ 3 ]}.

这三起事件累计损失已超过 2100 万美元，引发了人们对该协议安全性的担忧。Abracadabra 的总锁定价值 (TVL) 为 1.54 亿美元，MIM 的流通量为 4400 万枚代币。^{[ 1 ]}尽管遭遇这些挫折，该协议团队仍暂停了受影响的合约，并强调持续审查内部流程，以防止未来再次发生违规行为。^{[ 1 ]}.

此次事件凸显了 DeFi 平台普遍存在的漏洞。CertiK 数据显示，2025 年第三季度全球加密货币平台被盗金额达 3.07 亿美元，DeFi 漏洞利用率仅次于中心化交易所，排名第二。^{[ 2 ]}安全研究人员 Weilin William Li 和 Vladimir S. 强调了严格审计和压力测试的必要性，并指出反复出现的漏洞表明智能合约设计存在系统性风险^{[ 2 ]}.

Abracadabra 的应对措施包括使用 DAO 储备回购 MIM 代币，并与 Chainalysis 合作追踪被盗资金。然而，该协议尚未发表公开声明，其官方 X 账户自 9 月初以来一直保持沉默。^{[ 3 ]}缺乏透明度引发了 DeFi 社区的批评，鉴于该平台屡屡出现违规行为，社区对其长期可持续性表示质疑。^{[ 2 ]}.

此次攻击也反映了跨链借贷架构的挑战。尽管Abracadabra的MIM稳定币在事件期间保持了与美元的挂钩，但该平台的漏洞利用历史已经削弱了用户信心。分析师指出，此次180万美元的损失虽然小于以往的漏洞利用，但凸显了在快速发展的DeFi协议中缓解漏洞的难度。^{[ 3 ]}.

在 DeFi 领域努力应对安全挑战之际，Abracadabra 的案例堪称去中心化系统固有风险的警示案例。该协议能否恢复信任，取决于透明的沟通、强大的审计以及智能合约逻辑的结构性改革。